Norma de Gestão de Riscos ISO 31.000:

Diariamente somos demandados a tomar decisões, algumas delas simples, como por exemplo, a escolha de qual roupa utilizar para uma reunião. Outras, extremamente complexas, como por exemplo, como gerenciar a segurança de uma instalação portuária.

Independentemente do nível de complexidade associado a decisão, sempre haverá um importante componente a ser considerado, sendo ele, o entendimento quanto as consequências decorrentes da decisão a ser tomada.

Neste contexto, De Cicco (2009), evidencia importância da gestão de riscos, destacando como base necessária a este fim o reconhecimento de que:

a. A gestão de riscos envolve tanto ameaças quanto oportunidades;

b. A gestão de riscos requer uma reflexão aprofundada;

c. A gestão de riscos requer olhar para frente; d. A gestão de riscos requer responsabilidade na

tomada de decisões;

e. A gestão de riscos requer comunicação; e f. A gestão de riscos requer um raciocínio

equilibrado.

É possível afirmar que é necessário construir conhecimento como forma de melhorar o entendimento de um indivíduo quanto ao seu contexto decisório.

De acordo com Leitch (2010), o processo de gestão de riscos proposto pela ISO 31.000:2009 constitui-se nas atividades ilustradas pela figura 1.

Figura 1 - Processo de gestão de riscos.

Destaca-se que na Norma ISO 31.000:2009 não são apresentados quaisquer métodos que direcione a consecução dos objetivos descritos neste processo. Tais métodos e ferramentas decorrem de diretrizes preconizadas para sua implementação (DE CICCO, 2009).

A figura 2 apresenta o detalhamento do processo de gestão de riscos da ISO 31.000:2009, publicado por De Cicco (2009).

Figura 2 – Detalhamento do processo de gestão de riscos.

2.1.1.1 Comunicação e consulta

O conceito de comunicação de riscos é definido como um processo interativo de troca de informações e opiniões, envolvendo múltiplas mensagens sobre a natureza dos riscos e a gestão de riscos (DE CICCO, 2009).

Objetivando (i) melhorar o entendimento que as pessoas têm dos riscos e do processo de gestão proposto; (ii) garantir que as diversas visões das partes interessadas sejam levadas em consideração; e (iii) garantir que todos os participantes estejam cientes de seus papeis em responsabilidades, as atividades de comunicação e consulta evidenciam a necessidade da incorporação, ao processo de gestão, dos aspectos subjetivos inerentes a cada participante ou interessado no contexto decisório.

Ao conceituar o termo risco como o “efeito das incertezas nos objetivos” (LEITCH, 2010), a ISO 31.000:2009 direciona as atividades necessárias à sua gestão a integração de múltiplas perspectivas, ou seja, passa a incentivar o reconhecimento da singularidade dos contextos e de seus atores.

2.1.1.2 Estabelecimento do contexto

Esta atividade visa explicitar os fatores que podem influenciar a capacidade da organização de atingir os resultados esperados. O resultado desta etapa será o relato conciso dos objetivos organizacionais e os critérios específicos para que se tenha êxito, os objetivos e o escopo da gestão de riscos, e um conjunto de elementos-chave para a estruturação da atividade de identificação de riscos.

2.1.1.3 Identificação dos riscos

A finalidade da identificação de riscos é desenvolver uma lista abrangente de fontes de riscos e eventos que podem ter impacto na consecução de cada um dos objetivos identificados nos contextos.

Para De Cicco (2009), um risco está relacionado a:

a. Uma fonte de risco ou perigo - aquilo que tem potencial intrínseco de prejudicar ou auxiliar; b. Um evento - algo que acontece de tal forma

que a fonte do risco tem um impacto envolvido como, por exemplo, um vazamento, um

concorrente que expande ou abandona o seu segmento de mercado;

c. Uma consequência, resultado ou impacto em relação a diversas partes interessadas e ativos, como danos ambientais, perda ou aumento de mercado/lucros, regulamentações que aumentam ou diminuem a competitividade; d. Uma causa (o quê e por quê) (normalmente

uma série de causas diretas e intrínsecas) para a presença do perigo ou ocorrência do evento, tais como um projeto, intervenção humana, ...; e. Controles e seus níveis de eficácia, como

sistemas de detecção, de depuração, políticas, ...;

f. Quando o risco poderia ocorrer e onde poderia ocorrer.

2.1.1.4 Análise dos riscos

Tendo como referência o objetivo geral desta pesquisa, explicitado no Capítulo 1, como sendo: propor um modelo conceitual para a análise de riscos à segurança de instalações portuárias, destaca-se que para a norma de gestão de riscos ISO 31.000:2009 (LEITCH, 2010) e suas diretrizes de implementação (DE CICCO, 2009), esta atividade visa promover o entendimento do nível de risco e de sua natureza.

Para os autores evidenciados, a escolha do método de análise será influenciada pelos contextos, pelos objetivos e pelos recursos disponíveis. As diretrizes de implementação da ISO 31.000:2009 não apresentam métodos para a execução das atividades de analise de riscos, limitam-se as seguintes orientações:

a. Tipos de análise - destacam a possiblidade de utilização de análises qualitativas, semiquantitativa e quantitativa;

b. Evidenciam a necessidade de mensuração das consequências e das probabilidades, sugerindo a utilização de escalas (i) nominais, (ii) ordinais, (iii) de intervalo; e/ou (iv) de proporção;

c. No mesmo sentido, recomendam a utilização de matrizes consolidadas em escalas do tipo likert para a visualização gráfica dos níveis de criticidade dos riscos.

2.1.1.5 Avaliação dos riscos

A avaliação de riscos faz uso da compreensão dos riscos, obtida através da análise de riscos, para a tomada de decisões sobre as futuras ações (DE CICCO, 2009).

O conhecimento construído ao longo das atividades anteriores deve ser suficientemente capaz de auxiliar o processo de tomada de decisões, necessitando, segundo as diretrizes de implementação, ser coerente com os contextos interno, externo e da gestão de riscos definidos.

Nesta etapa os riscos passam a serem classificados e priorizados em conformidade com seus níveis de criticidade.

2.1.1.6 Tratamento dos riscos

No contexto da ISO 31.000:2009 (LEITCH, 2010) o tratamento de riscos implica em identificar uma série de opções para seus tratamentos, avaliar tais opções, elaborar planos de tratamento e implementá-los. 2.1.1.7 Monitoramento e análise crítica

Por fim, a etapa de monitoramento proporciona o acompanhamento rotineiro do desempenho real, para que possa ser comparado ao desempenho esperado ou requerido.

Dentre os esforços evidenciados pelas diretrizes de implementação da da norma de gestão de riscos ISO 31.000:2009, destaca-se a necessidade de medição (mensuração) do desempenho da gestão de riscos.

Neste documento os indicadores de desempenho, ou seja, o conceito atribuído a avaliação de desempenho associa-se a medidas quantitativas dos níveis de desempenho de um certo item ou atividade.

Observa-se nas diretrizes de implementação a ausência de recomendações associadas a métodos que possam contribuir com a avaliação de desempenho, contudo, observa-se certa preocupação com a subjetividade e a complexidade atribuída a esta atividade. Buscando dar ciência e visibilidade desta observação destaca-se o seguinte trecho deste documento:

[...]. Deve-se observar os seguintes pontos relacionados aos indicadores de desempenho:

- A medição eficaz do desempenho exige recursos. Eles devem ser identificados e alocados como parte do desenvolvimento dos indicadores de desempenho;

- Certas atividades de gestão de riscos podem ser difíceis de medir. Isso não as torna menos importantes, porém poderá ser necessário o emprego de indicadores substitutos;

- Qualquer variação entre os dados da medição dos indicadores de desempenho e o “instinto” (feeling) é importante e deve ser investigada; - Embora a súbita deterioração dos indicadores de desempenho normalmente chame a atenção, deterioração progressiva tende a ser igualmente problemática, de modo que as tendências dos indicadores de desempenho devem ser monitoradas e analisadas. (DE CICCO, 2009, p. 76).

Concluindo esta seção, destaca-se a atenção final da norma de gestão de riscos ISO 31.000:2009 para com as demandas existentes por avaliação de desempenho. Sendo este tema, um dos eixos estruturantes desta pesquisa, passa-se a explicitar o conceito de avaliação de desempenho adotado por este pesquisador para a consecução deste trabalho.